普瑞维尔通过提供业内唯一专为第三方业务关系风险识别与管理打造的统一平台,助力企业实现自动化评估、持续监控及证据共享的强效整合,促进企业与供应商间的协作。市场上尚无其他产品能同时兼具这三大功能,为构建高效运作的第三方风险管理方案提供最佳选择。
作为收到Prevalent平台在线调查请求的供应商,您可能对贵公司敏感数据的处理方式存在疑问。本文档将涵盖数据内容所有权、访问权限、共享与销售、隐私保护及安全保障等内容。
关于 Prevalent
普瑞维兰特公司(Prevalent, Inc.)是一家特拉华州公司,其主要营业地点位于美国亚利桑那州凤凰城塔图姆大道北11811号2400室(邮编:85028),系其全资子公司普瑞维兰特有限公司(Prevalent Limited,原名3GRC LTD)的母公司。该子公司于英格兰及威尔士注册成立,公司编号为: 2400室,亚利桑那州凤凰城,邮编85028,美国。该公司是其全资子公司普瑞维伦有限公司(原3GRC LTD)的母公司,后者在英格兰及威尔士注册成立,公司编号09673268,注册地址为普瑞维伦有限公司,英国贝辛斯托克市贝辛景广场,邮编RG21 4EB。 Insight Venture Partners, LLC("Insight")是一家私募股权与风险投资公司,系Prevalent, Inc.的主要所有者。
更多信息
有关本文件的更多信息,请联系Prevalent支持与客户成功团队:
- [email protected]
- 美国:1-877-318-7876
- 英国:01256 639 450
内容所有权
供应商对其在Prevalent平台上的内容拥有所有权。供应商有权更新其内容、要求删除内容、与他人共享内容或完全不共享内容。
访问
已完成的供应商评估及相关证据存储于我们的安全存储库中,仅限发起评估的公司或(若该公司将数据收集工作外包给Prevalent)Prevalent可查看。供应商通过完成并提交评估及相关证据,即表示允许发起评估的公司和/或Prevalent查阅该信息。
数据共享
供应商数据不会被共享,除非供应商明确批准将其评估结果及相关证据与除请求公司或Prevalent之外的其他实体共享。
数据销售
在Prevalent平台中的数据在任何情况下都不会被出售。
第三方认证
普瑞维兰(包括普瑞维兰TPRM平台)已获得并持续保持ISO/IEC 27001:2013认证,该认证证明其在组织范围内成功实施并管理了信息安全管理体系。
数据位置
普适平台允许客户选择部署的地理区域,并利用可用区确保服务可用性。数据在可用区内进行复制,并执行每日备份。客户数据绝不会存储在其所选区域之外。
用户可随时通过查看应用程序用户界面的页脚来确认其数据存储的区域。
数据安全
Prevalent对采用我们技术运营和支持应用程序的软件及服务供应商进行评估。我们通过Prevalent平台提供自主开发的SIG Lite和PCF评估工具,同时根据需要提供供应商的第三方认证(如适用),并记录政策、流程及技术成果的相关文件。
普瑞瓦尔的产品均为基于云的SaaS应用程序,托管于亚马逊云服务(AWS)平台。这些应用程序旨在以高可扩展性和高可用性安全运行,并配备强大的故障转移流程。
Prevalent平台在整个技术栈中都包含多层安全防护。这包括以下安全特性:
数据和文件加密
- 存储在亚马逊AWS密钥管理服务(KMS)中的加密密钥。
- 所有访问操作均记录在CloudTrail中以供审计。
- 传输中的数据通过AES 256位SSL证书进行加密保护。
- 数据库在静止状态下采用AES 256位加密。
- 文件存储在静止状态下采用AES 256位加密。
可扩展性
- 内置Web应用防火墙(WAF)的负载均衡器。
多租户保护
- 所有客户数据均存储于独立的联合数据库中。
韧性
- 数据库每日进行备份,并在不同的A-Z区域中保留14天。
- 以待机模式复制的数据库,可即时部署于不同A-Z区域。
终端保护
- 已安装防病毒软件以对应用服务器进行自我扫描。
- 已安装防病毒软件,用于扫描所有上传的文件。
网络安全与分布式拒绝服务攻击防护
- 数据层与服务层分离在私有子网中,这些子网不对外公开访问。
- 已启用自动扩展和AWS Shield以缓解DDoS攻击。
监控与审计
- 该应用程序采用AWS WAF、Amazon GuardDuty、CloudWatch和Amazon Inspector进行自我监控,并针对漏洞、恶意活动及威胁检测提供警报功能。
- 所有访问操作均记录在CloudTrail中以供审计。
漏洞检测
- 持续自动漏洞扫描。
- 年度第三方渗透测试。
访问管理
- 访问权限策略,由CloudTrail和IAM的审计日志提供支持。
- 在应用安全功能方面:高级密码强度策略;多因素身份验证;为整个实例和/或单个用户设置IP范围白名单。
该流程由Prevalent安全团队持续审查并验证。
隐私政策
人工智能
Prevalent致力于在运营的各个方面恪守道德规范,包括人工智能工具与服务的使用。对于Prevalent平台采用的任何人工智能工具或服务,我们均会审慎评估其安全性、隐私保护及声誉影响。 团队成员使用任何人工智能工具时,必须符合我们的安全与数据保护标准,并需持续接受监督与监控,以规避人工智能幻觉风险。针对可选的"人工智能驱动虚拟第三方风险顾问"功能,系统通过大型语言模型分析用户输入内容,解析问题并判断意图,从而提供风险指导。该功能不会将客户或实体数据纳入输入内容,亦不存在将风险与用户组织或任何第三方直接关联的情况。 这些来源可能存在不准确、不完整或过时的情况,且可能随时发生变更而不会另行通知。在基于输入信息作出任何决策前,不应将其替代您的独立判断、专业建议或寻求额外意见与研究的必要性。Prevalent对因使用该AI工具及相关操作所产生的任何损害概不负责。
